Od chaosu haseł do spokoju ducha
Większość zespołów na papierze nie ma problemu z hasłami. Mają go w praktyce. Współdzielony login przyklejony pod monitorem. „Wiosna2024!” używane wielokrotnie w pięciu narzędziach. Konto, którego założenia nikt nie pamięta. Logowanie jednokrotne SAML to czyste wyjście z tego wszystkiego.
Czym naprawdę jest SAML (bez żargonu)
SAML to od dawna ugruntowany standard, który pozwala zaufanemu dostawcy tożsamości (Twojemu IdP, takiemu jak Okta, Microsoft Entra ID, Google Workspace i inne) poświadczyć, kim ktoś jest. Gdy się logujesz, Twój IdP sprawdza Twoją tożsamość i wysyła do aplikacji podpisaną, odporną na manipulacje wiadomość mówiącą „tak, to naprawdę ta osoba”. Aplikacja nigdy nie widzi Twojego hasła; po prostu ufa podpisowi.
Dlaczego to kończy chaos
- Żadnego nowego hasła. Nie ma nic dodatkowego do ustawienia, przechowywania czy ponownego użycia, więc nie ma nic dodatkowego, co mogłoby wyciec.
- Odporność na phishing. Dane logowania mieszkają u Twojego IdP i jego zabezpieczeń (MFA, sprawdzanie urządzeń), a nie w bazie danych innej aplikacji.
- Jedno miejsce, by zmienić wszystko. Zresetuj, zablokuj lub usuń konto raz, centralnie, a zadziała to wszędzie.
- Odporność na manipulacje z założenia. Każda asercja jest kryptograficznie podpisana i weryfikowana względem skonfigurowanego przez Ciebie certyfikatu.
Część o spokoju ducha
Gdy SSO jest włączone, dręczące pytania cichną. Czy usunęliśmy tego wykonawcę? Tak, zrobiłeś to w swoim IdP. Czy ktoś ponownie używa słabego hasła? Nie ma hasła do ponownego użycia. Kto może zobaczyć nasz stan magazynowy i koszty? Dokładnie te osoby w Twojej zweryfikowanej domenie, które zatwierdza Twój IdP.
Konfiguracja zajmuje kilka minut: zweryfikuj swoją domenę, połącz swojego dostawcę i zdecyduj, czy tego wymagać. Kroki znajdziesz na stronie funkcji logowania jednokrotnego, a możesz przeczytać, dlaczego nie jest już opcjonalne, aby zobaczyć szerszy obraz.